Die NIS2-Richtlinie verlangt ein strukturiertes Schulungsprogramm für die gesamte Belegschaft. Da die entsprechende Regelung im Gesetzestext weniger prominent erwähnt wird als die Pflicht für Leitungsorgane, erklären wir die relevanten Anforderungen für NIS2-Mitarbeiterschulungen und wie Sie diese am besten umsetzen.
Hinweis: Dieser Artikel konzentriert sich auf NIS2-Schulungen für Mitarbeitende unterhalb der Leitungsebene. Lesen Sie auch, was das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu NIS2-Geschäftsleitungsschulungen erwartet und informieren sich über unsere NIS2-konforme Geschäftsleitungsschulung.
Warum müssen Mitarbeiter unter NIS2 geschult werden?
Viele Unternehmen gehen davon aus, dass auch unter NIS2 eine jährliche Schulung der Mitarbeitenden mit einem generischen Onlinekurs zur Informationssicherheit ausreicht. Die Rechtslage ist jedoch differenzierter.
Die explizite Schulungspflicht nach § 38 Abs. 3 BSIG (BSI-Gesetz) richtet sich zwar ausschließlich an Leitungsorgane. Für die übrige Belegschaft gibt es keine vergleichbar direkte gesetzliche Einzelpflicht. Jedoch verpflichtet § 30 BSIG betroffene Einrichtungen zu umfassenden technischen und organisatorischen Maßnahmen zur Cybersicherheit. Dazu zählen ausdrücklich:
- Sensibilisierungsmaßnahmen für alle Mitarbeitenden (§ 30 Abs. 2. Nr. 7 BSIG)
- Maßnahmen zur Aufrechterhaltung der Betriebskontinuität, einschließlich der Einweisung relevanter Mitarbeitender in Notfallprozesse (Business Continuity) (§ 30 Abs. 2. Nr. 3 BSIG)
- Sicherheit in der Lieferkette, was die Einweisung relevanter Mitarbeitender einschließt (§ 30 Abs. 2. Nr. 4 BSIG)
Wer als Einrichtung nachweisen muss, dass NIS2-angemessene Sicherheitsmaßnahmen ergriffen wurden, kommt um ein strukturiertes Schulungs- bzw. Awareness-Programm für alle Beschäftigten nicht herum. Die Schulungspflicht für Mitarbeitende ist damit keine Empfehlung, sondern faktisch eine NIS2-Compliance-Anforderung.
Was sollten NIS2-Schulungen für Mitarbeiter enthalten?
Allgemeine Belegschaft
Allgemeine Awareness-Schulungen sind ein sinnvoller und notwendiger Baustein für NIS2. Sie decken das ab, was NIS2 unter IT-Sicherheitsverhalten versteht und genau das ist für die allgemeine Belegschaft der entscheidende Maßstab.
Für die allgemeine Belegschaft reichen generische Informationssicherheitsschulungen als Grundlage, wenn sie:
- aktuell sind und aktuelle Bedrohungsszenarien abbilden (z. B. aktuelle Phishing- und Social-Engineering-Methoden);
- die zentralen Inhalte zu sicherem Verhalten im Arbeitsalltag abdecken (Phishing, Passwörter, Cloud-Nutzung, Risikobewusstsein);
- regelmäßig wiederholt werden – einmalige Schulungen genügen nicht;
- auf die Zielgruppe zugeschnitten sind, d. h. verständlich und praxisnah für Nicht-IT-Fachkräfte.
Tipp: Ein Beispiel für eine Schulung, die diese Anforderungen für die allgemeine Belegschaft erfüllt, ist der Onlinekurs von activeMind.academy zur Informationssicherheit. Er behandelt in fünf Lektionen die Themen Phishing, Cloud-Dienste, Passwörter und Risikoklassen, mit dem klaren Lernziel, dass Beschäftigte verstehen, was sie selbst zur Sicherheit beitragen können.
Mitarbeitende mit Führungsverantwortung
Für Mitarbeitende mit erhöhter Verantwortung – IT-Verantwortliche, Führungskräfte, Personen mit Zugang zu kritischen Systemen – reicht ein Standard-Onlinekurs allein nicht aus. Hier braucht es vertiefende Inhalte zu Risikomanagement, Incident Response und den konkreten Meldewegen im Unternehmen.
Übersicht zu Lerninhalten für NIS2
| Zielgruppe | Anforderung | Geeignete Formate |
|---|---|---|
| Alle Mitarbeitenden | Cyberhygiene, Phishing, Passwörter, Meldewege intern | Onlinekurse oder standardisierte Präsenzschulungen |
| IT-Verantwortliche und Führungskräfte | Risikomanagement, Incident Response, Meldepflichten, Lieferkettensicherheit | Vertiefende Workshops, Übungen, Fallstudien |
| Leitungsorgane | Strategische Entscheidungskompetenz (§ 38 BSIG) | Individuelle NIS2-Geschäftsleitungsschulung |
Wie müssen NIS2-Schulungen von Mitarbeitern dokumentiert werden?
Auch für Mitarbeiterschulungen gilt: Was nicht dokumentiert ist, hat im Zweifel nicht stattgefunden. Aufsichtsbehörden können die Nachweise jederzeit einfordern.
Mindestanforderungen an die Dokumentation sind:
- Datum und Dauer der Schulung
- Teilnehmende (Name, Funktion)
- Behandelte Inhalte und Bezug zu den NIS2-Anforderungen
- Nachweis der Teilnahme (z. B. Abschlusstest, Zertifikat)
Onlineplattformen mit automatischer Zertifikatausstellung und Teilnahmeprotokollen sind hier ein praktischer Vorteil. Sie erleichtern die revisionssichere Dokumentation erheblich.
Wie oft sollten Mitarbeiter zu NIS2-Themen geschult werden?
Das Gesetz nennt kein festes Intervall für Mitarbeiterschulungen. Als Orientierung gilt: mindestens jährlich. Ergänzend empfehlen sich anlassbezogene Hinweise – etwa eine Rundmail bei aktuellen Phishing-Kampagnen oder simulierte Phishing-Tests – die jedoch dokumentierte Schulungen nur ergänzen, nicht ersetzen.
Wie unterscheiden sich NIS2-Schulungen von Awareness-Maßnahmen für ISO 27001?
Wer bereits nach ISO 27001 zertifiziert ist oder ein Informationssicherheits-Managementsystem (ISMS) auf dieser Grundlage betreibt, hat in der Regel schon ein Awareness-Programm für Mitarbeitende. ISO 27001 verlangt in Abschnitt 7.3 ausdrücklich, dass alle relevanten Personen für die Informationssicherheitspolitik sensibilisiert sind, ihren Beitrag zur Wirksamkeit des ISMS kennen und die Folgen einer Nichterfüllung verstehen. Die ISO 27002 konkretisiert dies in Kapitel 6.3 mit Anforderungen an Schulungen und Awareness-Maßnahmen.
So – wie die NIS2-Anforderungen an ein ISMS umfassender sind als die von ISO 27001 – so sind auch die Schulungsinhalte unter NIS2 weiter zu fassen, insbesondere für Beschäftigte mit Führungsverantwortung und die Geschäftsleitung.
Wer bereits ein ISMS nach ISO 27001 betreibt, sollte deshalb prüfen, ob das bestehende Awareness-Programm um NIS2-spezifische Inhalte ergänzt werden muss – insbesondere um Meldepflichten, Incident-Response-Prozesse und die konkreten Anforderungen des BSIG. Ein vollständig paralleles System ist in der Regel (für die allgemeine Belegschaft) nicht notwendig.
Worauf sollten Sie bei der Auswahl einer NIS2-Schulung für Mitarbeiter achten?
Nicht jeder Onlinekurs, der sich als NIS2-konform ausgibt, hält, was er verspricht. Achten Sie bei der Auswahl einer geeigneten NIS2-Schulung für Ihre Mitarbeitenden auf folgende Punkte:
- Aktualität der Inhalte: Werden Bedrohungsszenarien regelmäßig aktualisiert? Ein Kurs, der seit Jahren unverändert ist, bildet die aktuelle Bedrohungslage nicht mehr ab.
- Zielgruppeneignung: Ist der Kurs verständlich für Mitarbeitende ohne IT-Hintergrund? Zu technische Inhalte verfehlen bei der allgemeinen Belegschaft ihre Wirkung.
- Nachweisfunktion: Stellt die Plattform automatisch Teilnahmenachweise und Zertifikate aus? Das ist für die Dokumentationspflicht gegenüber Aufsichtsbehörden entscheidend.
- Abdeckung der Kernthemen: Phishing, Passwörter, Cloud-Nutzung und ein grundlegendes Risikobewusstsein sollten mindestens enthalten sein.
- Wiederholbarkeit: Lässt sich die Schulung in festen Intervallen (z. B. jährlich) einfach wiederholen und nachverfolgen?
Fazit: Schulen ist Pflicht – und zwar mit Plan
NIS2 verlangt mehr als einen jährlichen Pflichtklick. Die Anforderungen an Mitarbeiterschulungen sind zwar weniger explizit formuliert als die für Geschäftsleitungen, aber sie sind real und durchsetzbar.
Entscheidend ist die Differenzierung: Ein guter Onlinekurs zur Informationssicherheit ist für die allgemeine Belegschaft ein wirksamer und NIS2-kompatibler Baustein. Er reicht aber nicht für alle Zielgruppen. Wer ein strukturiertes, rollengerechtes Schulungsprogramm aufbaut, regelmäßig aktualisiert und sauber dokumentiert, schützt sich vor NIS2-Bußgeldern und schafft die Grundlage für eine gelebte Sicherheitskultur, die NIS2 von Anfang an einfordert.
